Hacker stahlen 237.000 $ beim Bridged-Polkadot-Exploit, nachdem sie 1 Milliarde DOT gemint und in 108 ETH umgewandelt hatten

Hacker nutzten heute früher eine Schwachstelle im Ethereum-Gateway-Vertrag der Hyperbridge Cross-Chain Brücke aus, prägten 1 Milliarde nicht autorisierte Wrapped Polkadot (DOT) Token und tauschten sie gegen etwa 108,2 ETH, im Wert von mindestens 237.000 $ in einer einzigen Transaktion.
Der Angriff, der um etwa 3:55 Uhr UTC stattfand, zielte nur auf gebrückte DOT-Vermögenswerte auf Ethereum ab und ließ Polkadots native Blockchain, Parachains, Staking und Governance unberührt. Hyperbridge, ein Polkadot-basiertes Interoperabilitätsprotokoll, das Vermögenswerte über Chains hinweg mithilfe seines Interoperability State Machine Protocol (ISMP) verbindet, bestätigte die Sicherheitsverletzung kurz nach der Entdeckung in einem Beitrag auf X. „Ein Exploit hat einen unserer Ethereum-Verträge betroffen", erklärte das Team. „Wir haben alle Brückenaktivitäten pausiert und Partnern geraten, entsprechende Transaktionen zu stoppen, während das Team das Problem eindämmt."

Polkadots offizieller Account wiederholte die Beruhigung Stunden später. „Wir sind uns eines Problems bewusst, das den Ethereum-Gateway-Vertrag von @hyperbridge betrifft", hieß es.

„Der Exploit betrifft nur DOT auf Ethereum, das über Hyperbridge gebrückt wird, und betrifft nicht DOT im Polkadot-Ökosystem oder DOT, das über andere Brücken gebrückt wird. Polkadot, seine Parachains und natives DOT bleiben sicher und unberührt."

Die Mechanik des Bridged-Polkadot-Exploits

​Verifiziert von On-Chain-Analysten und Sicherheitsfirmen, einschließlich CertiK, wurde der Exploit in Block 24.868.295 über den Transaktions-Hash 0x240a…1109 ausgeführt. Die Wallet des Angreifers (0xC513…F8E7), eine 33 Tage alte Adresse, setzte einen bösartigen Untervertrag ein und reichte gefälschte Polkadot-Konsensbeweise über den HandlerV1-Vertrag ein.

Sicherheitsforscher führten die Grundursache auf drei kritische Schwachstellen zurück. Erstens wurde die Challenge-Periode der Brücke auf null gesetzt, wodurch jegliches Streitfenster entfernt wurde und die gefälschte Statusverpflichtung sofort akzeptiert werden konnte. Zweitens gab es eine unzureichende Validierung in der Beweisüberprüfungsfunktion des HandlerV1-Vertrags. Schließlich fehlte dem Konsens-Client-Vertrag (0xA0Ad…669a) eine öffentliche Quellcode-Verifizierung. Nach monatelanger Vorbereitung finanzierte der Angreifer erfolgreich die Wallet durch Datenschutz-Tools, einschließlich Railgun zk-geschützter Pools und Synapse Bridge, und führte vor dem Angriff Testbereitstellungen im Live-Zustand durch.

Sobald er die Kontrolle hatte, änderte der Angreifer den Administrator des gebrückten DOT-Token-Vertrags (0x8d01…90b8) und prägte die vollen 1 Milliarde Token. Das gefälschte Angebot wurde dann durch dezentralisierte Exchange-Router geleitet, einschließlich Uniswap V4, wodurch die verfügbaren Liquiditätspools geleert wurden. Der Swap brachte 108,2 ETH, bevor MEV-Bots Teile des Exploits bei anderen Hyperbridge-Wrapped-Assets wie ARGN, MANTA und CERE replizierten. Die gesamten realisierten Verluste des Vorfalls werden auf 250.000 $ geschätzt, wenn sekundäre Extraktionen einbezogen werden, obwohl die primäre Beute durch geringe Liquidität begrenzt blieb.

Lesen Sie auch: Trump-verbundenes World Liberty Financial (WLFI) verklagt Justin Sun in einem 75-Millionen-$-DeFi-Streit
Der Vorfall löste sofortige Marktreaktionen aus. Die Preise für gebrückte DOT in betroffenen Pools brachen von etwa 1,22 $ auf nahe null zusammen. Die südkoreanischen Börsen Upbit und Bithumb setzten DOT-Einzahlungen und -Auszahlungen vorsorglich aus. Gehebelte Positionen verzeichneten Liquidationen von mehr als 728.000 $, und die breitere DeFi-Liquidität, die an Hyperbridge-Wrapped-Assets gebunden ist, erlebte vorübergehende Störungen, wodurch etwa 20 Millionen $ an Nominalwert aus den Pools gelöscht wurden.
Hyperbridge betreibt mehrere ERC-6160-Token von Polkadot-Parachains, wodurch das Gateway zu einem gemeinsamen Single Point of Failure für mehrere gebrückte Vermögenswerte wird. Der EthereumHost-Vertrag wurde später vollständig eingefroren, um weitere Schäden zu verhindern. Zum Zeitpunkt der Erstellung dieses Berichts wurde beobachtet, dass sich die Gelder des Angreifers durch zusätzliche Railgun-Abhebungen in 15-ETH-Schritten zu neuen Exit-Wallets bewegten, wobei noch keine großen Bridge-Outs festgestellt wurden.

Dies markiert den neuesten in einer Reihe von brückenbezogenen Exploits, die dezentralisierte Finanzen heimgesucht haben, wo historisch Milliarden aufgrund von Beweisvalidierungslücken und Konfigurationsfehlern verloren gegangen sind. Hyperbridge hatte sich als sichere, kryptografisch verifizierte Alternative positioniert, die Polkadots GRANDPA- und BEEFY-Konsensmechanismen nutzt. Der Angriff verdeutlicht, wie selbst fortschrittliche Designs scheitern können, wenn Schlüsselparameter wie Challenge-Perioden minimiert werden oder wenn Upstream-Verifizierungsverträge keine öffentlichen Quellcode-Audits aufweisen.
Kein vollständiger forensischer Bericht von Hyperbridge oder Polkadot wurde veröffentlicht, da die Untersuchungen fortgesetzt werden. Blockchain-Sicherheitsfirmen CertiK und unabhängige Analysten überwachen weiterhin die Bewegungen des Angreifers. Der Vorfall dient als Erinnerung an die anhaltenden Risiken in der Cross-Chain-Infrastruktur, selbst für Protokolle, die auf etablierten Netzwerken wie Polkadot aufgebaut sind.